/*
 * Copyright (c) 2020 pig4cloud Authors. All Rights Reserved.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *     http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package com.pig4cloud.pig.auth.support.handler;

import cn.hutool.core.util.StrUtil;
import com.pig4cloud.pig.admin.api.entity.SysLog;
import com.pig4cloud.pig.common.core.constant.CommonConstants;
import com.pig4cloud.pig.common.core.util.R;
import com.pig4cloud.pig.common.core.util.SpringContextHolder;
import com.pig4cloud.pig.common.log.event.SysLogEvent;
import com.pig4cloud.pig.common.log.util.LogTypeEnum;
import com.pig4cloud.pig.common.log.util.SysLogUtils;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.http.server.ServletServerHttpResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.endpoint.OAuth2ParameterNames;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import java.io.IOException;

/**
 * 认证失败事件处理器
 * <p>
 * 该类实现了 Spring Security 的 AuthenticationFailureHandler 接口，
 * 用于处理 OAuth2 认证失败事件，并记录相应的审计日志。
 * 
 * 主要功能：
 * 1. 记录登录失败日志（包括用户名、异常信息、耗时等）
 * 2. 发布异步日志事件到系统日志服务
 * 3. 返回标准化的 JSON 错误响应
 * 4. 支持 OAuth2 异常的特殊处理
 * 
 * 使用场景：
 * - 密码模式认证失败
 * - 短信验证码认证失败
 * - 其他自定义认证方式失败
 *
 * @author lengleng
 * @date 2025/05/30
 */
@Slf4j
public class PigAuthenticationFailureEventHandler implements AuthenticationFailureHandler {

	/**
	 * Jackson JSON 消息转换器
	 * 用于将错误信息转换为 JSON 格式返回给客户端
	 */
	private final MappingJackson2HttpMessageConverter errorHttpResponseConverter = new MappingJackson2HttpMessageConverter();

	/**
	 * 当认证失败时调用
	 * <p>
	 * 处理流程：
	 * 1. 从请求中提取用户名
	 * 2. 记录认证失败日志
	 * 3. 构建系统日志对象（包括失败原因、耗时等）
	 * 4. 发布异步日志事件
	 * 5. 返回错误响应给客户端
	 * 
	 * @param request 认证请求
	 * @param response 认证响应
	 * @param exception 认证失败的异常
	 */
	@Override
	@SneakyThrows
	public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) {
		// 从请求参数中获取用户名
		String username = request.getParameter(OAuth2ParameterNames.USERNAME);

		// 记录认证失败日志
		log.info("用户：{} 登录失败，异常：{}", username, exception.getLocalizedMessage());
		
		// 构建系统日志对象
		SysLog logVo = SysLogUtils.getSysLog();
		logVo.setTitle("登录失败");
		logVo.setLogType(LogTypeEnum.ERROR.getType());
		logVo.setException(exception.getLocalizedMessage());
		
		// 计算请求耗时
		// 通过请求头中的开始时间计算认证过程的耗时
		String startTimeStr = request.getHeader(CommonConstants.REQUEST_START_TIME);
		if (StrUtil.isNotBlank(startTimeStr)) {
			Long startTime = Long.parseLong(startTimeStr);
			Long endTime = System.currentTimeMillis();
			logVo.setTime(endTime - startTime);
		}
		
		// 设置日志创建者为尝试登录的用户名
		logVo.setCreateBy(username);
		
		// 发布异步日志事件，由日志服务处理并持久化
		SpringContextHolder.publishEvent(new SysLogEvent(logVo));
		
		// 向客户端发送错误响应
		sendErrorResponse(request, response, exception);
	}

	/**
	 * 发送错误响应
	 * <p>
	 * 将认证失败信息以统一的 JSON 格式返回给客户端。
	 * 对于 OAuth2 异常，优先使用异常描述，如果没有描述则使用错误码。
	 * 
	 * 响应格式：
	 * - HTTP 状态码：401 (UNAUTHORIZED)
	 * - 响应体：R.failed() 封装的统一响应格式
	 * 
	 * @param request HTTP请求
	 * @param response HTTP响应
	 * @param exception 认证异常
	 * @throws IOException 写入响应时发生 IO 异常
	 */
	private void sendErrorResponse(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException {
		// 封装 HTTP 响应对象
		ServletServerHttpResponse httpResponse = new ServletServerHttpResponse(response);
		// 设置 HTTP 状态码为 401（未授权）
		httpResponse.setStatusCode(HttpStatus.UNAUTHORIZED);
		
		String errorMessage;

		// 处理 OAuth2 认证异常
		// OAuth2 异常包含更详细的错误信息
		if (exception instanceof OAuth2AuthenticationException) {
			OAuth2AuthenticationException authorizationException = (OAuth2AuthenticationException) exception;
			// 优先使用错误描述，如果没有描述则使用错误码
			errorMessage = StrUtil.isBlank(authorizationException.getError().getDescription())
					? authorizationException.getError().getErrorCode()
					: authorizationException.getError().getDescription();
		}
		else {
			// 其他类型的认证异常，直接使用异常消息
			errorMessage = exception.getLocalizedMessage();
		}

		// 使用统一的响应格式返回错误信息
		this.errorHttpResponseConverter.write(R.failed(errorMessage), MediaType.APPLICATION_JSON, httpResponse);
	}

}
